Microlab Hard S.L.

Recientemente la Agencia Española de Protección de Datos (AEPD) ha dictado resolución contra la Fundación del Teatro Real, por vulneración del principio de minimización de datos, en el contexto de la venta de entradas a través de su página web.

El procedimiento sancionador fue iniciado tras la denuncia de un cliente que compró unas entradas a través del sitio web del Teatro Real y, al considerar excesiva la información solicitada de forma obligatoria durante el proceso de venta, decidió interponer una reclamación ante la AEPD.

Durante la instrucción del expediente, la AEPD pudo constatar que el Teatro Real requería como obligatorios los siguientes datos: nombre y apellidos, dirección de correo electrónico, teléfono móvil, fecha de nacimiento, dirección postal, código postal, país y número de pasaporte o DNI. Estos datos eran exigidos incluso cuando se trataba de compras de entradas sin servicios adicionales (por ejemplo, sin contratar seguros ni solicitar factura).

El Teatro Real argumentó que todos los datos solicitados eran necesarios para optimizar la experiencia del usuario, cumplir obligaciones contractuales y garantizar la seguridad en sus instalaciones. Sin embargo, la AEPD consideró que varias de esas finalidades no justificaban la recogida obligatoria de ciertos datos, en particular:

• DNI/Pasaporte, cuya exigencia se vinculaba con medidas de seguridad general (visitas de personalidades), pero sin una base legal suficiente ni indicación en la política de privacidad.
• Dirección postal, solicitada incluso sin necesidad de envío físico.
• Fecha de nacimiento, exigida de forma sistemática aunque sólo era relevante para acceder a tarifas especiales por edad.
• Código postal y país, recogidos con fines estadísticos, lo cual no justifica su obligatoriedad.

Además, la AEPD criticó que el proceso online exigiera más datos obligatorios que el presencial, sin justificación técnica ni legal para ello.

Proporcionalidad y principio de minimización de los datos

La AEPD concluyó que varios de estos datos no eran necesarios para la gestión de la compra de entradas y, por tanto, vulneraban el principio de minimización, reafirmando su criterio en la aplicación del RGPD: el tratamiento de datos debe ser proporcional y justificado por la finalidad concreta del tratamiento.

En este sentido, no basta con declarar que un dato es útil; es necesario justificar que es imprescindible para cumplir la finalidad concreta del tratamiento. La AEPD ya ha considerado en otras ocasiones excesivo solicitar datos como DNI, dirección postal completa, o número de teléfono móvil cuando no existe necesidad real o legal para ello.

Por su parte, el principio de minimización de datos consagrado en el Reglamento General de Protección de Datos (RGPD) exige que los datos personales tratados sean los adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se recaban. Este principio se entrelaza con el de proporcionalidad, una garantía esencial en todo tratamiento de datos personales.

En el caso que nos ocupa, si el Teatro Real ofrece un canal presencial y otro digital (por ejemplo, venta de entradas), no puede exigir más datos por vía online si no existe una diferencia objetiva que lo justifique.

Buenas prácticas para el cumplimiento de la normativa

Para cumplir adecuadamente con estos principios, las organizaciones deben:

• Revisar las bases de datos y formularios actuales;
• Eliminar campos obligatorios que no sean estrictamente necesarios;
• Aplicar el principio de privacidad por defecto, recogiendo únicamente los datos mínimos para cumplir la finalidad;
• Documentar las evaluaciones de necesidad y proporcionalidad en los tratamientos;
• Actualizar las políticas de privacidad para reflejar la finalidad real y la naturaleza opcional de los datos no imprescindibles.

Conclusión

El caso de la Fundación del Teatro Real es ilustrativo de los retos a los que se enfrentan las empresas en la digitalización de sus servicios. La comodidad tecnológica no puede imponerse sobre los derechos de protección de datos de los usuarios, por lo que la recogida de información debe estar basada en los principios claros de necesidad, adecuación y proporcionalidad.

Desde Microlab Hard , ayudamos a empresas a adaptar su sitio web a las exigencias legales sobre cookies y consentimiento. Auditamos tu página para asegurar que el banner cumple con el RGPD, que no se instalan cookies sin autorización y que la información al usuario es clara, accesible y completa.

Si tienes dudas sobre si tu web solicita más información de la necesaria, contáctanos. Te asesoraremos para ajustar tus formularios, actualizar tu política de privacidad y evitar riesgos de sanciones, garantizando al mismo tiempo una experiencia de usuario sencilla, segura y respetuosa con la protección de datos.

La Agencia Española de Protección de Datos (AEPD) sanciona a RIUSA II, S.A, responsable del sitio web riu.com, por incumplir las obligaciones derivadas del RGPD y la LOPDGDD en materia de cookies. La infracción principal radica en la ausencia de un mecanismo efectivo de rechazo, así como en la instalación automática de cookies sin consentimiento informado del usuario.

Los hechos fueron puestos en conocimiento de la AEPD a través de la reclamación de un usuario, que denunció ante esta Agencia que el banner dispuesto en la mencionada página web no permitía la opción de rechazar o configurar las cookies.

Durante la investigación, la AEPD comprobó además que al entrar en la página web se instalaban cookies analíticas y publicitarias, con independencia de las opciones marcadas por el usuario en el banner. En definitiva, advirtió que el banner de cookies carecía de una opción para “rechazar” y únicamente ofrecía un “aceptar”, aunque se cargaban cookies no necesarias de forma automática, sin haber obtenido previo consentimiento válido del usuario.

Un marco jurídico estricto

El RGPD exige que el consentimiento sea libre, informado, específico e inequívoco. La práctica sancionada (donde no existe posibilidad de rechazo y el banner es ambiguo) incumple estos requisitos, pues el consentimiento debe otorgarse mediante un acto afirmativo, no implícito ni obligatorio para acceder al sitio web. Además, el hecho de omitir información clara sobre los terceros implicados y sus finalidades contraviene el principio de transparencia y el deber de información consagrados en el RGPD.

Por todo lo anterior, la AEPD calificó los hechos como una infracción del RGPD por tratar datos personales sin un consentimiento válido y no cumplir con las obligaciones de información. La sanción prevista fue de 5.000 euros, aunque finalmente se redujo a 3.000 euros tras aplicas las reducciones por pago voluntario de la sanción y reconocimiento de la responsabilidad.

Recomendaciones para un correcto cumplimiento de la normativa

• El responsable de la página web debe ofrecer mecanismos activos a los usuarios para aceptar o rechazar cookies, claramente diferenciados. Además, el usuario debe tener la capacidad de rechazar las cookies según sus finalidades y en bloque.
• No se deben instalar cookies hasta que el usuario acepte expresamente su uso. La mera navegación no constituye un consentimiento válido.
• Es imprescindible contar con una “primera capa” informativa que permita al usuario conocer la información básica del tratamiento, con un enlace al resto de información.
• Se debe garantizar la revocabilidad del consentimiento en todo momento, es decir, el usuario debe poder revocar o modificar su consentimiento de manera clara y sencilla.

La importancia de realizar una auditoría legal en el sitio web

La resolución PS‑00108/2021 es una llamada de atención para todas las webs que utilizan cookies. La AEPD aclara que el consentimiento no puede ser implícito, ambiguo o irreversible, y que el derecho a la privacidad exige herramientas técnicas y legales robustas que respeten los principios del RGPD.

Por todo lo anterior, se hace cada vez más necesario que las empresas se doten de un servicio de consultoría en esta materia que realice auditorías periódicas en la página web, especialmente tras cambios o actualizaciones en su estructura, contenido o funcionalidades. La web suele ser el primer punto de contacto entre la empresa y sus usuarios, y también el principal canal de recogida de datos personales (formularios, cookies, áreas privadas, etc.). Por ello, cualquier modificación puede tener implicaciones legales que deben ser evaluadas cuidadosamente. Una auditoría web permite verificar el cumplimiento de las últimas exigencias legales, identificar posibles incumplimientos (por ejemplo, en el uso de cookies, políticas de privacidad obsoletas o mecanismos inadecuados de obtención del consentimiento) y aplicar las medidas correctoras necesarias.

Desde Microlab Hard, ayudamos a empresas a adaptar su sitio web a las exigencias legales sobre cookies y consentimiento. Auditamos tu página para asegurar que el banner cumple con el RGPD, que no se instalan cookies sin autorización y que la información al usuario es clara, accesible y completa.

Si no estás seguro de si tu web respeta correctamente la normativa sobre cookies, contáctanos. Evaluaremos tu configuración actual y te propondremos mejoras técnicas y legales para evitar sanciones y garantizar una experiencia transparente para tus usuarios.

El acceso a la historia clínica es un derecho de los pacientes, incluyendo los menores de edad. Sin embargo, la regulación de este derecho implica un delicado equilibrio entre la autonomía progresiva del menor, el deber de protección de sus padres o tutores, y las obligaciones recogidas en el Reglamento General de Protección de Datos (RGPD) y la Ley 41/2002 de Autonomía del Paciente.

De acuerdo con la Ley 41/2002, todos los centros sanitarios están obligados a mantener una historia clínica individual por cada paciente que haya sido atendido en ellos. Esto incluye hospitales, clínicas, centros de salud, consultas privadas, etc.

Si bien la responsabilidad principal recae sobre los centros, los profesionales sanitarios que ejercen de forma individual o en pequeñas consultas privadas también están obligados a conservar la historia clínica de sus pacientes, ya que son considerados responsables del tratamiento de los datos personales de carácter sanitario.

Por tanto, un médico privado, psicólogo, dentista o fisioterapeuta que trabaje fuera de una institución también debe mantener una historia clínica de cada paciente.

El derecho de acceso según el RGPD

El artículo 15 del RGPD reconoce el derecho de cualquier persona a acceder a sus datos personales, lo que incluye los datos contenidos en su historia clínica. En el caso de los menores, este derecho debe adaptarse a su nivel de madurez y capacidad para comprender la información.

El RGPD establece además que los menores merecen una protección específica con respecto a sus datos personales, especialmente en el ámbito de la salud. Sin embargo, no prohíbe el acceso directo del menor a sus datos, siempre que esté capacitado para ejercerlo.

La Ley de Autonomía del Paciente y los menores

La Ley 41/2002 regula el derecho de los pacientes a la información sanitaria y al acceso a su historia clínica. A partir de los 16 años, el menor puede acceder libremente a su historia clínica y decidir sobre su salud, salvo excepciones como situaciones de grave riesgo.

Entre los 12 y los 16 años, el acceso puede depender de su madurez. Si el menor demuestra comprensión suficiente, puede acceder, y sus decisiones deben ser escuchadas.

Por debajo de los 12 años, el acceso suele estar limitado a los padres o representantes legales.

¿Hasta cuándo pueden acceder los padres?

Los progenitores o representantes legales pueden acceder a la historia clínica del menor mientras este no haya alcanzado la mayoría de edad, salvo en contadas excepciones, pues, dentro de las obligaciones derivadas de la patria potestad, está la de velar por la salud del menor.

En definitiva, a partir de los 18 años se debe retirar el acceso a los padres a la historia clínica.

En la práctica

Si una menor de edad de 16 años acude sola al dentista para tratarse una caries, tanto los padres como la paciente tendrían la capacidad de acceder a la historia clínica resultante del tratamiento. En cambio, si la persona tuviese 13 años, serían únicamente los padres los que tendrían dicha capacidad. Si por el contrario, la paciente tuviese 18 años, sería esta la única persona legitimada para acceder a la historia clínica.

En definitiva, la legislación actual reconoce progresivamente la autonomía de los menores y protege su intimidad, especialmente en situaciones sensibles.

Si tienes dudas sobre cómo gestionar correctamente el acceso a las historias clínicas de menores o el cumplimiento del RGPD en tu consulta, contáctanos. Analizaremos tu caso y te ayudaremos a implementar un sistema legal y seguro, adaptado a tus obligaciones como profesional sanitario.